עשור חדש - בעיות אבטחה חדשות

לאור המשבר הכלכלי אשר פקד את העולם בשנת 2009, נשמעים כעת קולות רבים להגביר ולהעמיק את הרגולציות, במיוחד בתחום הפיננסי. מניסיון העבר, כמעט בכל רגולציה כזו קיימת השפעה מיידית על דרישות אבטחת המידע וסביר שדרישות נוספות תעלינה בהמשך ותוגדרנה בצורת סטנדרטים גלובליים כחלק מריבוי הרגולציות. עם זאת, לאור הניסיון שנצבר בעולם התקינה בשנים האחרונות (על-ידי גופי התקינה, המוסדות הממלכתיים, חברות הייעוץ והארגונים הנתונים לרגולציה), העשור הקרוב, להערכתי, יביא איתו איחוד של תקנים ורגולציות אשר מחד יגבירו את הבקרה ויעלו את הרף. אני סבור שנראה אכיפה נוקשה וממוקדת יותר של דרישות ותקני אבטחת המידע, בראש ובראשונה בארגונים הממלכתיים והפיננסיים כמובן, אך גם בחברות בינלאומיות וספקי פתרונות שונים. מאידך, איחוד זה יקל משמעותית על ארגונים אשר לעיתים שוכחים לנהל באמת את האבטחה בארגון מרוב "שיעבוד" לרגולציה.

איננה רק אופנה, אלא היא שינוי יסודי באופן התקשורת האנושי. לדעתי, כולנו מבינים כעת שסוגיות האבטחה של המדיה החברתית אינן טכניות, אלא דווקא חברתיות במהותן. מאחר שהמדיה החברתית תלויה בחוליה החלשה ביותר ובהיבטי שרשרת האבטחה, שקשה ביותר לשלוט בהם (כלומר, בבני אדם), גניבת זהויות ומגוון גדל והולך של טקטיקות שבהן משתמשים פושעי הרשת כדי לנצל, להונות ולרמות עדיין נפוצות מאוד. פושעי הרשת הבינו שהרבה יותר קל לגרום לנו לפרוץ את המערכות של עצמנו. לכן, אנו נהיה עדים לגידול עצום במספר התקריות הקשורות למידע זיהוי אישי (PII) וכתוצאה מכך, ליותר רגולציה עסקית וממשלתית שייעודה להגן על PII ונתונים רגישים אחרים.

אחד הטרנדים החזקים בשנים האחרונות הינו שירות מבוסס "ענן" (Cloud Managed Security Services), שתי נקודות להתייחסות בהתפתחות ענף זה בכלל ובהיבטי אבטחת מידע בפרט - האחת - שירותים שניתנים על-ידי הענן ועל-ידי חברות שונות בתצורת (Software as a Service (SaaS. לאור האטרקטיביות התפעולית והכספית הרבה בשירותים אלה, קיימת מגמה הולכת וגדלה להעביר מערכות מידע קריטיות לתשתיות אלה, כולל כאלה המכילות מידע ארגוני רגיש ביותר. רמת האבטחה בשירותי הענן עדיין אינה ברורה די צרכה ותהיינה התפתחויות מעניינות בנושא זה. נקודה שנייה - אבטחת מידע כשירות מהענן או SaaS. לאור העובדה שתשתיות ושירותי אבטחת מידע הינם ביסודם חלק מתשתיות המחשוב הארגוניות, ככל שתשתיות כאלה יעברו לענן, ארגונים ישאפו להעביר גם את תשתיות אבטחת המידע ולהפוך אותן לשירות נצרך. לנושא זה עשויות להיות השלכות מרחיקות לכת על ניהול אבטחת המידע, שליטת הארגון במידע שלו וכן הלאה. אני סבור שנושא זה ימשוך המון תשומת לב בעשור הקרוב. בנימה אופטימית ועל-ידי כלים מתאימים, יתכן והדבר יפנה זמן למנהלי אבטחת המידע בארגונים לעסוק באכיפה ובהטמעת תהליכי אבטחת מידע עסקיים רלוונטיים במקום לעסוק בתפעול השוטף של מערכות האבטחה.

הגנה על רשתות המחשוב הארגוני באמצעים טכנולוגיים עברה תהפוכות רבות בעשור האחרון עם אינסוף מוצרים חדשים המציעים הגנות על מעגלי הגנה שלא נלקחו בחשבון טרם המצאתם. שילוב של הגנות מוכוונות, נקודת קצה, הגנה על ערוצי מידע למניעת דלף תוך בחינת תוכן בשלל תצורות. מוצרים אלה רק ילכו וישתבחו עם הזמן ויציעו מגוון רחב יותר של יכולות, תוך בשלות הולכת וגדלה. העשור הקרוב ישנה תפיסה בהיבטי הגנה על תשתיות מחשוב באמצעות קישור משתמש / אפליקציה, הישות הותיקה של כתובת IP תתחלף עם שם משתמש ייחודי וחד-ערכי (באמצעות תשתית תואמת ותומכת דוגמת כרטיסים חכמים) שיקושר לאפליקציה תוך כדי הגנה חוצת סגמנטים ובקרת הרשאות רוחבית אשר תשנה את התפיסה הישנה ותשפר משמעותית את הניהול ואת אבטחת התשתיות הנהוגה כיום.

אין ספק שיש להרחיב את הדיונים בנושא אבטחת מידע של תשתיות קריטיות. הדיון החשוב הינו לגבי מידת אבטחת המידע שיש לדרוש מחברות וארגונים המפעילים תשתיות קריטיות כגון: חברת החשמל, ארגוני המים, חברות תעופה ואחרים. הנושא הרבה יותר מדי נרחב מכדי שנוכל להמשיך להתעלם מסיכון פוטנציאלי זה. אותם כשלי אבטחה, שלהם אנו עדים במחשבים, בבית ובמקום העבודה, עלולים להתרחש גם במערכות של התשתיות הקריטיות ביותר של המדינה. למרות שרבים חושבים שזוהי תחזית מוגזמת הנובעת מפחד, אי-ודאות וספקות, איש לא יכחיש שפוטנציאל ההתקפות גדל. חייבים להרחיב את הדיון ולמנות פיקוח מקיף שיטפל בבעיה עם תקנות חדשות שידרשו ביקורות תכופות יותר ועוד אמצעי בקרה, לרבות הכשרת עובדים ואולי אפילו הסמכה של מומחי אבטחה העובדים במתקני התשתיות הקריטיות.

גם הוא נושא חשוב שימשיך "לייצר כותרות". האקרים שכותבים וירוסים חדשים, פורצים למערכות על-ידי עקיפת אמצעי האבטחה, פוגעים בשלמות הנתונים או סתם זורעים הרס נמצאים עדיין בשפע וממשיכים לעסוק במעשיהם הנבזיים. ואולם, הסוג הזה של פגיעות במחשבים, ישתייך לקטגוריה נפרדת של פשיעת אינטרנט במקביל להתפתחותו של דור חדש של עברייני רשת, שהמניע היחיד שלהם הוא כסף. החדשות הרעות לגבי הזן החדש של הפושעים הוא שהם יצירתיים וחכמים. המדיה החברתית והתשתית האינטרנטית, תמשיך להוות קרקע פורייה לגידול בפשיעה, המאפשרות לפושעי הסייבר לארוב לא רק לתמימים, אלא לכולנו באמצעות תרמיות של כרטיסי אשראי, גניבת זהות, התחזות והפצת פורנוגרפיה של ילדים ברשת. פשיעה באמצעים כגון העתקת רצפי הקלדה או תוכניות הגונבות סיסמאות ופוגמות בדפדפנים כדי להפנות את הגולשים לאתרים מזויפים הם אמצעי הפשיעה המקובלים כיום. תוכנות כופר (Ransom ware) הן זן די חדש ו"מלוכלך" במיוחד שבו מדביקים את המחשב של הקורבן, מצפינים את הנתונים ו/או את הקבצים שבו ומאלצים את הקורבן לשלם כופר תמורת המפתח לצופן. גרסה חדשה של תוכנת כופר כוללת "טוויסט" החוסם את הגישה לאינטרנט ודורש מהקורבן לשלוח הודעת SMS (במחיר מופקע, כמובן) אל הקוד כדי לשחרר את החסימה מהנתונים.

אחד הדברים שלא השתנו לאורך כל תולדות המין האנושי, הוא שעבריינים אוהבים להתאסף במקום שבו יש כסף. פושעי הסייבר אינם שונים מפושעים רגילים וכל עוד מחסומי הכניסה נמוכים והסיכון להיתפס שואף לאפס, הפשיעה באינטרנט תמשיך לשגשג. ככל שתגדל הפעילות הכלכלית באינטרנט, כך יגדלו גם ההזדמנויות לפשיעה במרחב זה. אין ספק שמעטפת ההגנה הטובה ביותר שונה במהות מארגון אחד למשנהו, אך היא חייבת להיות כזו אשר תטפל בכלל הרבדים, החל מהרובד התהליכי (ארגון ושיטות) וכלה ברבדים הטכנולוגיים, תוך כדי "תפירת" הפתרון ההולם לכל ארגון על-פי צרכיו, על-פי עולם הסיכונים בו הוא חי ובעיקר על-פי ההבנה העסקית. בכתבה נסקרו האיומים החזויים ובוודאי לא כולם, אבל הסכנה האמיתית תהיה כנראה באותם איומים חדשים ובלתי צפויים שיצוצו ובגמישותם של ארגונים ומערכות מידע להתמודד עימם בזמן אמת. אז שיהיה לכולנו עשור רווי עשייה, מאתגר ובעיקר בטוח.